威胁事件情报
1. Emotet攻击魁北克司法部
发布时间:2020年9月16日
情报来源:
https://www.welivesecurity.com/2020/09/16/emotet-quebec-department-justice-eset/
情报摘要:魁北克司法部遭受网络攻击,攻击者通过电子邮件发送Emotet 恶意软件。黑客涉嫌窃取约300名员工的个人信息。
2. 英国警告对教育部勒索软件的威胁激增
发布时间:2020年9月18日
https://www.bleepingcomputer.com/news/security/uk-warns-of-surge-in-ransomware-threats-against-education-sector/
情报摘要:
英国国家网络安全中心(NCSC)已发布有关针对教育机构的勒索软件事件激增的警报,敦促他们遵循最近更新的缓解恶意软件攻击的建议。NCSC在8月份对该国学校、学院和大学勒索软件攻击事件增加进行调查后,发出了此警告。
除了预警勒索软件的威胁外,政府组织还为此类网络攻击提供了常见的初始感染媒介:不安全的远程桌面协议(RDP)配置;未修复的软硬件设备中的漏洞,特别是网络边缘的设备,如防火墙和虚拟专用网络;网络钓鱼电子邮件。
3. Maze勒索软件现在通过虚拟机加密以避免检测
发布时间:2020年9月17日
情报来源:
https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/
情报摘要:
迷宫勒索软件操作员使用Ragnar Locker该团伙以前使用的策略;从虚拟机中加密计算机。虚拟机会将主机驱动器安装为远程共享,然后在虚拟机中运行勒索软件加密共享文件。在攻击中,Maze部署了一个MSI文件,文件将VirtualBox VM软件和自定义Windows 7虚拟机安装在服务器上。然后启动虚拟机加密共享的主机文件。
4. Cerberus银行木马的源代码在地下论坛上泄露
发布时间:2020年9月16日
情报来源:
https://securityaffairs.co/wordpress/108373/cyber-crime/cerberus-source-code-leaked.html
情报摘要:
在拍卖失败后,臭名昭着的Cerberus银行木马的源代码已在地下黑客论坛上免费发布。整个项目包括组件的源代码(恶意)APK,管理面板和C2代码),安装指南,用于设置脚本集和有效许可证的客户列表,以及与客户和潜在买家。恶意软件实现了银行木马功能,如覆盖攻击和拦截SMS访问联系人列表的信息和功能。
5. 滥用Google App Engine创建无限网络钓鱼页面的功能
发布时间:2020年9月20日
情报来源:
https://www.bleepingcomputer.com/news/security/google-app-engine-feature-abused-to-create-unlimited-phishing-pages/
情报摘要:
研究人员最近发现的一项技术显示了如何使用它Google的App Engine该领域将网络钓鱼和恶意软件传递给领先的企业安全产品。Google App Engine基于云的服务平台Google开发和托管服务器Web应用。
诈骗者通常使用云服务来创建分配子域的恶意应用程序。然后,他们在这里托管在线钓鱼页面。或者他们可以使用该应用程序作为命令和控制(C2)恶意软件的有效负载由服务器传递。
6. 在物联网设备中寻找复杂的恶意软件
发布时间:2020年9月23日
情报来源:
https://securelist.com/looking-for-sophisticated-malware-in-iot-devices/98530/
情报摘要:
本文的动机之一是鼓励其他对该主题感兴趣的研究人员加入,分享他们的想法和知识,并帮助建立更多的功能,以更好地保护我们的智能设备。物联网设备(例如Zigbee)通信协议中仍存在一些漏洞。攻击者可以利用这些漏洞将设备设定为目标,并将恶意软件传输到网络中的其他设备,类似于计算机蠕虫。
漏洞情报
1. Google Chrome PDFium内存损坏导致代码执行
发布时间:2020年9月14日
情报来源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-google-pdfium-sept-2020.html
情报摘要:
攻击者可能会使用它Google Chrome的PDFium功能破坏内存并可能执行远程代码。Chrome可用于所有操作系统的流行免费网络浏览器。PDFium允许用户在Chrome中打开PDF。我们最近发现了一个漏洞,允许攻击者将恶意网页发送给用户,然后导致越界访问内存。
2. Apple Safari远程执行代码漏洞
发布时间:2020年9月17日
情报来源:
https://blog.talosintelligence.com/2020/09/vuln-spotlight-apple-safari-sept-2020.html
情报摘要:
Apple Safari Web浏览器的Webkit该功能包含远程执行代码漏洞。具体来说,攻击者可能是Safari中使用的Webkit DOM呈现系统WebCore中触发“使用前先释放”条件。这可能会使攻击者在受害机器上执行远程代码。用户需要Safari中打开特制的恶意网页才能触发此漏洞。
3. 数十亿设备可能会受到新的影响“ BLESA”攻击蓝牙安全漏洞
发布时间:2020年9月18日
情报来源:https://mp.weixin.qq.com/s/VUUoRD-lM8ZZyJEs0rh1eA
情报摘要:
数亿智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件。值得注意的是,这些软件很容易受到今年夏天披露的新安全漏洞的攻击。这个漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议设备。普渡大学( Purdue University一个由 组成的研究团队正在开始调查BLE协议结束后,发现了安全问题:附近的攻击者可以绕过重连接进行验证,并将错误信息交给BLE设备发送欺诈数据,诱导用户和自动化过程做出错误决定。
4. Spring Framework反射文件下载漏洞风险通知
发布时间:2020年9月22日
情报来源:https://mp.weixin.qq.com/s/SYXhJrVz87jpMB-V0Zx_LA
情报摘要:
VMware Tanzu在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28在不支持的旧版本中,公布了一个存在于旧版本中的版本Spring Framework下载反射文件(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
CVE-2020-5421漏洞可通过jsessionid路径参数,绕过防御RFD攻击的保护。攻击者通过向用户发送有批处理脚本扩展名称的批处理URL,使用户下载并执行文件,从而危害系统。VMware Tanzu修复漏洞的新版本已正式发布。
5. The Return of Raining SYSTEM Shells with Citrix Workspace app
发布时间:2020年9月21日
情报来源:
https://www.pentestpartners.com/security-blog/the-return-of-raining-system-shells-with-citrix-workspace-app/
情报摘要:
7国外安全研究人员记录了一个新月Citrix Workspace漏洞使攻击者在SYSTEM在帐户下远程执行任何命令。在进一步研究了初始修复程序后,发现了一个新的攻击点:问题的核心是远程命令线注入漏洞,攻击者可以使用恶意MSI转换绕过Citrix签名的MSI安装程序。
更新的Citrix安全公告:https://support.citrix.com/article/CTX277662,漏洞描述:
在Windows的Citrix Workspace在应用程序的自动更新服务中发现了一个漏洞,可能漏洞:1.本地用户将其特权级别提升为运行Windows的Citrix Workspace计算机上应用程序的管理员级别; 2.启用Windows文件共享(SMB)后,运行Citrix Workspace计算机的应用程序受到远程威胁。
6. Jenkins多个插件的安全漏洞公告(2020.9.23)
发布时间:2020年9月24日
情报来源:https://s.tencent.com/research/bsafe/1137.html
情报摘要:
Jenkins9月23日,官方公布了多个插件的安全漏洞,可能导致远程代码执行、沙箱绕过、CSRF攻击、XSS漏洞攻击等后果。漏洞涉及五个插件:Implied Labels Plugin、Liquibase Runner Plugin、Lockable Resources Plugin、Script Security Plugin、Warnings Plugin。
7. ZeroLogon(CVE-2020-1472)-攻击与防御
发布时间:2020年9月24日
情报来源:https://blog.zsec.uk/zerologon-attacking-defending/
情报摘要:
从红蓝对抗的角度理解CVE-2020-1472漏洞,以及如何检测、修补和破解ZeroLogon。结论是:在攻击方面,漏洞有点改变了游戏规则,漏洞的使用非常简单,使用漏洞攻击会带来非常有害的后果。无论你坐在栅栏的哪一边,你都应该修复这个问题,并鼓励你的客户这样做。在实时环境中开发时要特别小心,因为它会破坏域,没有备份机器密码,修复它不是一个有趣的过程!